11 декабря, компания Microsoft выпустила очередное ежемесячное обновление безопасности для веб-браузера Internet Explorer, ОС Windows, компонентов текстового редактора Word, почтового сервера Exchange Server. Декабрьское обновление состоит из 7 бюллетеней безопасности, устраняющих 11 уязвимостей. Шесть бюллетеней устраняют возможность удаленного выполнения произвольного кода, при этом пять из-них позволяют провести это без участия пользователя. Наиболее опасные уязвимости описываются в бюллетене MS12-078. Уязвимости связаны с обработкой OpenType (CVE-2012-2556) и TruType-шрифтов (CVE-2012-4786) представляют критическую опасность для всех версий ОС Windows, так как эксплуатируют ошибки в драйверах ядра ОС, через которые злоумышленники могут произвести выполнение произвольного программного кода или повысить уровень привилегий текущего пользователя. Не менее опасную уязвимость CVE-2012-4774 в ОС Windows описывает бюллетень безопасности MS12-081. Несмотря на отсутствие её в Windows RT/8 и Server 2012, на других версиях она предоставляет злоумышленникам широкие возможности по выполнению произвольного программного кода через специально сформированное имя файла или каталога. Бюллетень безопасности MS12-079 устраняет возможность выполнения произвольного программного кода через специально сформированный RTF-документ (CVE-2012-2539). Это обновление затрагивает как встроенные в ОС приложения просмотра текстовых документов, так и компоненты Microsoft Office. Устраняемая уязвимость имеет критический уровень угрозы, поскольку она может быть использована в автоматизированных вирусных атаках. Еще одну возможность выполнения произвольного программного кода устраняет бюллетень безопасности MS12-082. На этот раз причиной уязвимости стало переполнение кучи через ошибки в функциях библиотеки DirectPlay (CVE-2012-1537). Накопительное обновление MS12-077 устраняет сразу 3 критические уязвимости (CVE-2012-4781, CVE-2012-4782, CVE-2012-4787) в веб-браузере Internet Explorer версии 9 и 10. При этом серверные варианты ОС Windows наименее подвержены этим уязвимостям. Обновление MS12-080 для почтового сервера Microsoft Exchange Server продолжило ликвидировать уязвимости (CVE-2012-3214 и CVE-2012-3217) в библиотеках Oracle Outside In, а также устраняет возможность отказа от обслуживания через систему обработки RSS-каналов (CVE-2012-4791). Ошибки в проверке сертификатов компонентом IP-HTTPS стали причиной уязвимости CVE-2012-2549, описываемой в "важном" бюллетене MS12-083. Эту уязвимость злоумышленники могут использовать для обмана доверия пользователя средствами ОС Windows. Кроме того, компания Microsoft произвела обновление своих корневых сертификатов. Учитывая критический статус обновлений, разработчики Microsoft рекомендуют произвести установку обновлений в кратчайшие сроки. Обновления доступны на веб-сайте компании Microsoft Download Center и через систему Автоматического обновления ОС.
Подробности